Avoir un Firewall c’est bien, y installer un logiciel de détection d’intrusion (IDS) c’est encore mieux. Mais pour atteindre les sommets de la sécurité informatique, il faudra passer par une étape ingrate: l’analyse des logs générés par votre IDS…
SNORT est un IDS libre facile à installer sur les OS GNU/Linux et BSD. Il produit en sorti des logs avec les alertes repérées sur votre réseau. Ces logs peuvent devenir très volumineux et donc impossible à analyser. Heureusement, BASE (de SecureIdeas) est là pour vous donner un coups de main.
BASE est une interface Web permettant d’analyser les logs de SNORTS stockés dans une base de données MySQL (ou PgSQL).
Installation de base sous une GNU/Linux Fedora
On commence par installer la librairie AdoDB pour permettre à l’application BASE de communiquer avec la base de donnée.
cd /var/www
wget http://ovh.dl.sourceforge.net/sourceforge/adodb/adodb505.tgz
tar zxvf adodb505.tgz
ln -s adodb5 adodb
rm adodb505.tgz
On récupère ensuite la dernière version de BASE sur le site officiel (http://base.secureideas.net/).
wget http://ovh.dl.sourceforge.net/sourceforge/secureideas/base-1.4.1.tar.gz
tar zxvf base-1.4.1.tar.gz
ln -s base-php4 base
chown -R apache:apache base base-php4
rm base-1.4.1.tar.gz
On finalise l’installation en se rendant, à l’aide d’un navigateur Web, vers la page suivante: http://<adresse-ip-serveur>/base/
Puis on suit le wizard avec en premier la vérification des pré-requis:
on configure la base de donnée (1 et 2) puis on continu (3):
on force une authentification sur les accès à BASE (1), le login/password (2) et on continu (3):
On finalise l’installation :
Et voilà, il ne reste plus qu’a consulter régulièrement les rapports générés par ces beaux outils.
Utilisation de BASE
Il suffit de se rendre à l’URL suivante: http://<adresse-ip-serveur>/base/
Les rapports sont disponibles par jours, derniers 24h, derniers 72h, alertes les plus récentes, les plus fréquentes…